Cookie 概述
HTTP Cookie(简称 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据。它会在浏览器之后向同一服务器再次发起请求时被携带并发送回服务器。通常,它用于告知服务端两个请求是否来自同一浏览器,比如保持用户的登录状态、记录用户偏好等。
Cookie 的原意是曲奇饼干,在网络语境下对应着一小块数据。理解它的核心在于明白它是客户端存储机制。
工作原理
- 设置:当用户第一次访问网站时,服务器会在响应的 HTTP 头中设置
Set-Cookie字段,将 Cookie 发送给浏览器。 - 存储:浏览器接收到 Cookie 后,会将其保存在本地(通常是按照域名进行存储)。
- 携带:在之后的请求中,浏览器会自动在 HTTP 请求头中携带
Cookie字段,将之前保存的 Cookie 信息发送给服务器。
有了 Cookie 的存在,我们不用每次登录都要输入账号密码,网站能自动识别用户。因为将用户的数据存储在了 Cookie 当中,它可以标识用户状态,对登录状态进行保持,方便随时验证身份,还能区分 VIP 会员、普通会员还是游客。
Cookie 的分类
- 会话 Cookie(Session Cookie):存储在内存当中,浏览器关闭时失效。
- 持久 Cookie(Persistent Cookie):存储在文件当中,带有明确的过期日期或持续时间,可以跨多个浏览器会话存在。
如果 Cookie 是持久性的,它实际上是浏览器相关目录下的一个文件。但直接查看这些文件可能会看到乱码或无法读取的内容,因为 Cookie 文件通常以二进制或 SQLite 格式存储。一般建议直接在浏览器的开发者工具或设置选项中查看。
安全性与用途
由于 Cookie 是存储在客户端的,因此存在被篡改或窃取的风险。不过,通过合理配置属性,风险可控。
主要用途包括:
- 用户认证和会话管理(最重要)
- 跟踪用户行为
- 缓存用户偏好等
Cookie 详解
基本格式
HTTP 响应头中包含 Set-Cookie 选项,用来给浏览器设置 Cookie 值。
Set-Cookie: =
其中 <name> 是 Cookie 的名称,<value> 是 Cookie 的值。
完整的 Set-Cookie 示例如下:
Set-Cookie: username=peter; expires=Thu, 18 Dec 2024 12:00:00 UTC; path=/; domain=.example.com; secure; HttpOnly
各个属性的含义:
- name=value:指定 Cookie 的名称和值,这是必需的。
- expires=date:指定 Cookie 的过期时间。如果未设置,Cookie 默认在浏览器关闭时过期。
- domain=domain:指定 Cookie 的有效域,控制哪些域可以访问该 Cookie。
- path=path:指定 Cookie 的有效路径,控制哪些路径下的页面可以访问该 Cookie。
- secure:如果设置了该选项,Cookie 只能通过 HTTPS 协议传输,不能通过 HTTP 协议发送,增加安全性。
